Empresas de games e apostas são alvo de golpes com falso suporte técnico

Empresas dos setores de games e apostas esportivas são o alvo de uma nova campanha de ataques, na qual criminosos se passam por clientes com problemas para implantar malware a partir de chamados no suporte técnico. O método descrito como sofisticado por especialistas em segurança envolve o envio de falsas imagens descritivas do problema, que abrem uma porta de entrada nos sistemas corporativos.

• As principais ameaças cibernéticas contra os gamers
• Conheça as 5 principais ameaças a empresas nas redes sociais

De acordo com os pesquisadores da Security Joes, responsável pelo alerta, pelo menos quatro incidentes contra empresas dos dois segmentos foram registrados a partir de setembro do ano passado. A backdoor, denominada IceBreaker, ainda é relativamente desconhecida, tendo aparecido em apenas um alerta de segurança em outubro, emitido pelos profissionais do MalwareHunterTeam, que também indicaram seu uso em screenshots manipuladas como vetor de intrusão.

No contato com o suporte das empresas-alvo, os criminosos afirmam ter problemas para se registrar ou logar em um serviço online e enviam uma suposta captura de tela, por meio de link, para exemplificar o problema. O arquivo aparece hospedado em servidores sob o controle dos bandidos ou em contas do Dropbox e está, na realidade, em formato ZIP. Após ser baixado e descompactado, o que parece ser uma imagem é, na realidade, um atalho do Windows que executa o comando e instala o vírus no computador do trabalhador enganado.

De acordo com a Security Joes, os bandidos, em alguns casos, solicitaram atendimento por um profissional falante de espanhol, enquanto outros ataques aconteceram em inglês traduzido automaticamente, indicando que a quadrilha não é falante do idioma. Além disso, há foco em companhias que não terceirizam seus sistemas de atendimento, possibilitando a obtenção de acesso direto a informações internas.

O malware em si é descrito como altamente sofisticado, trazendo mecanismos que permitem se esconder de softwares de segurança e encerrar processos no computador da vítima. Não existem menções a movimentação lateral, mas a capacidade de roubar senhas, cookies e arquivos, bem como abrir uma porta de entrada para acesso remoto, indica o interesse nos ataques como um vetor de roubo de dados para intrusões maiores às redes das corporações atingidas.

O relatório de segurança acompanha indicadores de comprometimento e guias técnicos sobre o funcionamento do IceBreaker, enquanto informações sobre a quadrilha envolvida não estão disponíveis. A recomendação é de treinamento para profissionais de suporte e a aplicação de bloqueios no download e execução de arquivos de determinados formatos, incluindo executáveis e atalhos do Windows obtidos pela internet.

Fonte: Security Joes